fbpx

網站駭客/滲透測試

Contents

像黑帽駭客一樣破解網站和 Web 應用程式,並像專家一樣保護它們。

課程介紹影片

從這 10 小時的課程,你會學到

  • 90多個視頻,帶你從初學者到高級網站駭客
  • 創建一個駭客實驗室和所需的軟體(在Windows、OS X 和 Linux 上)
  • 成為漏洞賞金獵人並發現漏洞賞金漏洞!
  • 發現、利用和緩解許多危險的網絡漏洞
  • 利用這些漏洞入侵 Web 伺服器
  • 繞過這些漏洞的安全保護和進階利用
  • 階後滲透攻擊 – 在同一伺服器上破解其他網站,轉儲資料庫,特權升級…. etc
  • 繞過安全性和過濾器
  • 使用代理攔截請求
  • 採用 SQL 查詢來發現和利用安全頁面中的 SQL 注入
  • 使用 SQL 注入完全控制目標伺服器
  • 發現和利用盲目 SQL 注入
  • 安裝Kali Linux  – 一個滲透測試作業系統
  • 學習 linux 指令以及如何與終端機進行互動
  • 學習 linux 基礎
  • 了解網站和 Web 應用程式的工作原理
  • 了解瀏覽器如何與網站進行通訊
  • 收集有關網站的敏感資訊
  • 發現目標網站上使用的伺服器、技術和服務
  • 發現與特定網站相關聯的電子郵件和敏感資料
  • 尋找與網站相關聯的所有子網域
  • 發現與目標網站關聯的未發布目錄和檔案
  • 尋找與目標網站託管在同一伺服器上的所有網站
  • 發現、利用和修正檔案上傳的漏洞
  • 利用進階檔案上傳漏洞並獲得對目標網站的完全控制
  • 發現,利用和修正本地端檔案所包含的漏洞
  • 利用本地檔案包含的漏洞獲取 shell
  • 利用進階本地端檔案所包含的漏洞並獲得對目標網站的完全控制
  • 利用進階遠端檔案所包含的漏洞並獲得對目標網站的完全控制
  • 發現、修正和利用 SQL 注入漏洞
  • 繞過登錄表單並使用 SQL 注入以管理員身份登錄
  • 編寫 SQL 查詢以搜尋資料庫、表單和敏感資料,例如使用 SQL 注入的使用者名稱 AD ( Active Directory )密碼
  • 繞過過濾,並使用 SQL 注入以無密碼的管理員身份登錄
  • 繞過過濾和安全措施
  • 使用 SQL 注入對伺服器讀取/寫入檔案
  • 快速補丁SQL注入
  • 學習正確的方法編寫 SQL 查詢以防止 SQL 注入
  • 發現基本和進階反眏的 XSS 漏洞
  • 發現基本和進階儲存的 XSS 漏洞
  • 如何使用 BeEF 框架
  • 使用反眏的 XSS 漏洞將使用者鉤到 BeEF
  • 從鉤到的受害者竊取憑證
  • 對鉤到的受害者執行 javascript 程式碼
  • 創建一個不可檢測的後門
  • 使用 XSS 漏洞駭入電腦
  • 修復 XSS 漏洞並保護自己免於作為被他們控制的使用者
  • 使用暴力和 wordlist 攻擊的意思
  • 創建 worldlist 或是字典( dictionary )
  • 啟動 wordlist 攻擊和猜測管理員的密碼
  • 使用 Web proxy 自動發現所有上述漏洞
  • 在目標 Web 伺服器上執行系統命令
  • 訪問檔案系統(在目錄之間導航、讀/寫檔案)
  • 下載、上傳檔案
  • 繞過安全測量
  • 進入同一網路伺服器上的所有網站
  • 連接到資料庫並執行 SQL 查詢或將整個資料庫下載到本地機器
  • 發現、利用和緩解 CSRF 漏洞

規定為何?

  • 基本 IT 技能
  • 無需 Linux、程式設計或駭客知識
  • 最低 4GB RAM 記憶體電腦
  • 操作系統:Windows / OS X / Linux

課程說明

注意:除某些基礎知識外,我的其他課程都沒涵蓋到本課程的內容。儘管我的其他課程之一涵蓋了網站駭客攻擊,但是該課程僅涵蓋本課程深入探討該主題的基礎知識,包括更多技術、更多漏洞、進階利用、進階後滲透攻擊、繞過安全性等等!

歡迎來到我這有關網站滲透測試的綜合課程。在本課程中,你將學習如何駭入網站/ Web 應用程式!本課程假定你對駭客技術沒有任何了解,最終你將具備高水準,能夠像黑帽駭客一樣駭入並發現網站中的錯誤,並像安全專家一樣保護它們!

本課程非常實用,但不會忽視理論,首先你將學習如何安裝所需的軟體(在Windows、Linux 和 Mac OS X 上),然後我們將以網站基礎知識開始,組成網站的各種組件、其使用的技術,然後我們將立即深入研究網站駭客策略。從這裡開始,你將通過範例來學習一切,從發現漏洞並利用它們來入侵網站,所以,我們將永遠不會有枯燥乏味的理論講座。

在進入駭客攻擊之前,你將首先學習如何收集有關目標網站的全面資訊,然後這課程將以多個章節進行,每個章節涵蓋如何發現、利用和緩解常見的 Web 應用程式漏洞。 針對每個漏洞,你將首先學習基本的利用方法,然後學習進階技術來繞過安全性,提升特權,訪問資料庫,甚至使用被駭入的網站入侵同一伺服器上的其他網站。

此處涉及的所有漏洞在漏洞賞金計劃中都很常見,其中大多數都是 OWASP Top 10的一部分。 你將學習如何以及為什麼可以利用這些漏洞,如何解決這些漏洞以及避免這些漏洞的正確做法。

以下是課程內容更詳細的分解:

1.資訊收集 – 本節將教你如何收集有關目標網站的資訊,你將了解如何發現使用的 DNS 伺服器,服務,子網域,未發布的目錄,敏感檔案, 使用者電子郵件,同一伺服器上的網站,甚至是網路託管供應商。此資訊至關重要,因為它增加了能夠成功入侵目標網站的機會。

2. 發現、利用和緩解 – 在本節中,你將學習如何發現,利用和緩解大量的漏洞,本節分為多個子部分,每個都包括一個特定的漏洞,首先你將了解該漏洞是什麼它允許我們做什麼,然後你將學習如何利用這個漏洞,最後,我們將看看導致此漏洞的程式碼,並告訴你如何解決它,並保護網站,以下漏洞被覆蓋在課程中:

  • 檔案上傳:此漏洞允許攻擊者在目標Web伺服器上上傳可執行的檔案,利用這些漏洞正確地讓你對目標網站的完全控制。
  • 程式碼執行 – 此漏洞允許使用者在目標 Web 伺服器上執行系統程式碼,這可以用於執行惡意程式碼,並獲得反向 shell 訪問,這使攻擊者完全控制目標 Web 伺服器。
  • Local File inclusion – 此漏洞可用於讀取目標伺服器上的任何檔案,這可以利用來讀取敏感檔案,我們不會停止在那,你將學習兩種方法來升級此漏洞,並獲得一個反向shell連接,使你能夠完全控制目標Web伺服器。
  • Remote File inclusion – 此漏洞可以載入遠端檔案在目標 Web 伺服器上,利用此漏洞正確地使你完全控制目標 Web 伺服器。
  • SQL注入 – 這是課程中最大的部分之一,這是因為這是最危險的漏洞之一,發現它無處不在,不僅是,但它可以利用允許我們來做上述漏洞所有和更多的事情,所以它允許你以管理員身份登錄,而無需知道密碼,進入資料庫並獲取所有儲存在那裡的資料,如使用者名稱,密碼,信用卡….等,讀取儲存在伺服器中的檔案,將檔案寫入服務器,甚至獲得一個反向shell訪問權限,使你可以完全控制Web伺服器!
  • XSS  – 此漏洞可用於對於訪問有弱點頁面的使用者執行JavaScript程式碼,我們不會停止,你將學習如何竊取使用者的憑證(如facebook或youtube密碼),甚至獲得他們的電腦的完全訪問權限。 你將學習所有三種類型(反射,儲存和基於DOM)。
  • 不安全的 session 管理 – 在本節中,你將了解如何利用 Web 應用程式中不安全的 session 管理,並在不知道密碼的情況下登錄其他用戶帳戶, 你還將學習如何發現和利用CSRF(跨站請求偽造)。
  • 暴力和字典攻擊 – 在本節中,你將了解這些攻擊是什麼,它們之間的區別和如何啟動它們,在成功的情況下,你將能夠猜到你的目標登錄的密碼。

3. 後駭客攻擊( Post Exploitation )  – 在本節中,你將了解你可以透過利用上述漏洞獲得的訪問權限,你將學習如何將反向shell訪問轉換為Weevely訪問,反之亦然,你還將學習如何在目標伺服器上執行系統命令,在目錄之間瀏覽,訪問同一伺服器上的其他網站,上傳/下載文件,訪問資料庫甚至將整個資料庫下載到本地端電腦,你將學習如何繞過安全性,做以上所有這些入侵,即使你沒有權限這樣做!

本課程中的所有攻擊都是針對任何真實網站的實際攻擊,在每個漏洞中,你將學習基本的攻擊,然後你將學習高級方法,將給你更多的權限或允許你繞過安全測量 — 你將學習如何和為什麼這些漏洞是可利用的,如何解決它們,以及什麼是正確的做法可以避免它們。

注意:本課程僅為教育目的而創建,所有攻擊都在我自己的實驗室或對我有權限測試的設備上啟動。

注意:本課程完全是Zaid Sabih的產品,沒有其他組織與它或認證考試相關聯。雖然,您將收到Udemy的課程完成認證,除此之外沒有其他組織。

目標受眾是誰?

  • 任何有興趣學習網站和 Web 應用程式駭客/滲透測試的人
  • 任何想要了解駭客如何破解網站的人
  • 任何人想要學習如何保護網站和 Web 應用程式防止駭客入侵
  • Web開發人員,以便他們可以創建安全的Web應用程式和保護他/她們現有的網站
  • 網頁管理員,以便他/她們可以保護他們的網站

講師簡介

Zaid Sabih,道德駭客、滲透測試和資訊科學家 ( 更多講師主講課程介紹 )

我的名字是Zaid Al-Quraishi,我是一個道德駭客、滲透測試和資訊科學家。

我喜歡研究駭客技術且不喜歡依循常規,但不要誤會我,因為我是一個道德駭客。

我在道德駭客技術上的經驗很豐富。 從2009年起我開始在一個道德駭客網站(iSecuri1ty)製作視訊課程,我收到了很好的回響。我的課程讓我被提拔為這個網站的編輯。我也在iSecur1ty的滲透測試團隊工作。

在2013年,我開始在iSecur1ty培訓中心的線上教授我的第一個課程,這個課程再次獲得學生很棒的回饋,這促使我製作一個英文版的課程。

這門英文版的課程在Udemy維持 一年最受歡迎的付費課程之一,再次獲得很好的迴響,因此我決定做更多關於道德駭客的課程。

我的教學方法大多是透過範例,所以我通常從解釋每種技術背後的理論,然後告訴你它在現實生活中如何運作。

英文字幕:有

  • 想要了解如何將英文字幕自動翻譯成中文? 請參考這篇 How-To
  • 點選這個優惠連結 課程特價 | Udemy 永久擁有課程 NT330 起( 在電腦瀏覽器登入,點選“優惠連結”後再回想要的課程介紹中點選“報名參加課程”即可取得 )
  • Udemy 現在越來越多課程有中文字幕,請參考 Soft & Share 中文線上課程
  • 手機上點選優惠連結看到的價格比電腦上看到的貴
  • $代表當地貨幣, 如在台灣為 NT
  • 點選”報名參加課程”有可能因瀏覽器 cookies 轉久一點或回報錯誤而無法連上,請稍等刷新或重新點選就會出現

 報名參加課程

Sponsored by Udemy

Lingoda

也許你會有興趣

不受 FB 演算法影響,歡迎透過 e-mail 訂閱網站更新

4 thoughts on “網站駭客/滲透測試

Add yours

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料

Powered by WordPress.com.

Up ↑

%d 位部落客按了讚: